Focus sur les Phishing, smishing et autres défacement

Le Phishing, pour commencer

Nous sommes tous régulièrement visés par des tentatives de phishing, ces mails plus ou moins bien conçus qui se font passer pour notre opérateur téléphonique, notre banque, notre caisse d’assurance maladie, et j’en passe. Les pirates, derrières ces actions, espérant ainsi nous piéger et obtenir nos données personnelles. C’est purement et simplement une forme d’escroquerie numérique qui s’est perfectionnée avec les années.

Si les e-mails de phishing peuvent encore être, de mauvaises imitations, ils font de plus en plus illusion et, sauf grossières fautes de frappe, peuvent passer pour des e-mail légitimes.

Mais, ni nos banques, ni nos opérateurs et encore moins nos administrations ne nous demanderont de fournir des informations personnelles dans un e-mail.

Pour éviter un carton rouge, nous devons toujours nous méfier d’un e-mail nous demandant de telles informations et surtout ne pas cliquer sur le lien qu’il peut contenir.  Ce dernier point doit devenir un réflexe, ne pas cliquer sur un lien dans un mail envoyé par un inconnu !

Le smishing

Malheureusement, les pirates informatiques ne se sont pas arrêtés là, ils utilisent la même technique mais par sms. On parle alors de smishing.

La logique identique, il ne faut pas cliquer sur les liens et surtout ne fournissez aucune information personnelles ou secrètes. Ils prétendront être notre opérateur téléphonique et avoir besoin en urgence d’une vérification d’identité, ou de rappeler un numéro en urgence D’autres, enfin, vous enjoindront de suivre un lien afin de remplir un formulaire.

En utilisant des sms, les fraudeurs espèrent contourner notre vigilance. Pour ce faire, ils combinent une demande provenant d’une entité à laquelle on pense pouvoir se fier avec le caractère personnel du sms et nous font croire à une urgence. Masqués derrière de tels subterfuges, ils espèrent nous faire baisser la garde pour révèler des informations secrètes. Ensuite, c’est au choix : vol, usurpation d’identité ou contamination avec un logiciel malveillant.

Pour nous protéger, nous devons rester vigilants et ne pas suivre n’importe quels liens, ou fournir des informations sans avoir vérifié l’identité du demandeur. Pour ce faire, une première étape de vérification est simple à mettre en œuvre. Cliquez sur l’adresse de l’expéditeur pour être en mesure de la voir complètement. Vous verrez parfois apparaître une adresse qui ne s’apparente en rien avec la direction générale des services fiscaux, par exemple. Pour le smishing, là encore faisons simple : regardez sur internet si le numéro est référencé comme une arnaque récurrente.

Défacement ou défiguration

Les pirates informatiques peuvent aussi décider de défigurer notre site internet et d’afficher publiquement que nous sommes attaqués. Ici les pirates ne cherchent pas la discrétion, bien au contraire, ils veulent afficher une revendication ou dénoncer les actions de leur cible.  Ces attaques ressemblent à des blagues de mauvais goût, mais les conséquences vont beaucoup plus loin. Les cyberattaquants montrent très publiquement qu’ils ont trouvé une faille dans notre sécurité.

Hormis le 1^er avril, si, en me connectant sur mon site d’e-commerce favori, je trouve des fausses informations particulièrement loufoques, cela peut signifier que mon qu’il a été piraté. Dans un premier temps, je serai peut-être déçu. Par contre, c’est la méfiance qui va gagner en moi… En effet, si un pirate a pu modifier l’apparence du site, qui me dit qu’il n’a pas installé un de ces malwares qui va espionner mes actes d’achat et, au passage subtiliser des données sensibles, bancaires, par exemple ?

En plus de la perte plus ou moins durables de clients, les propriétaires du site vont devoir assumer, entre autres, les couts de remise en état du système de sécurité.